Zeitdruck

Das IT-Sicherheitsgesetz lässt zu viel im Unklaren

| Autor / Redakteur: Dr. Katja Siegemund* / Stephan Augsten

Einige Adressaten des IT-Sicherheitsgesetzes stehen bereits fest, bei etlichen Betrieben herrscht aber noch Unklarheit.
Einige Adressaten des IT-Sicherheitsgesetzes stehen bereits fest, bei etlichen Betrieben herrscht aber noch Unklarheit. (Bild: Archiv)

Das IT-Sicherheitsgesetz verlangt von den Betreibern kritischer Infrastrukturen verbindliche Maßnahmen zur Gewährleistung der Informationssicherheit. Auch wenn die branchenspezifischen Mindeststandards nicht immer eindeutig sind: Bis zum 31. Januar 2018 müssen Unternehmen die Forderungen des IT-Sicherheitsgesetzes erfüllt haben.

Die angespannte Lage der IT-Sicherheit hat nun – endlich, wie manche sagen – zu einer konkreten Reaktion des Gesetzgebers geführt: Im Juli 2015 ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten. Es fordert von Betreibern kritischer Infrastrukturen (KRITIS) die Umsetzung noch zu definierender, branchenspezifischer Mindeststandards für die Informationssicherheit.

Betroffen sind Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Medien, Gesundheit, Wasser, Ernährung, Transport und Verkehr sowie Finanzdienstleister; allesamt Bereiche, die für das Fortbestehen von Gesellschaft und Wirtschaft als unverzichtbar erachtet werden.

Ein wichtiger und von Experten schon lange eingeforderter Punkt ist dabei die nun durch das IT-SiG geforderte Meldepflicht: IT-Störungen, die zu einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastruktur geführt haben oder auch nur führen können, müssen demnach an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Eine Frage der Auslegung

Bemerkenswert ist zum einen, dass es keine Positivliste von Unternehmen gibt, die unter das Gesetz fallen. Bei den meisten wird es unstrittig sein, aber auf welche Unternehmen das IT-SiG in Grenzbereichen schlussendlich anzuwenden ist, kann nur im Einzelfall entschieden werden.

Hierfür werden in einer zusätzlichen Rechtsverordnung, die Ende des Jahres erscheinen soll, Schwellenwerte definiert. Anhand dieser müssen alle Unternehmen selbst prüfen, ob sie zu KRITIS zählen oder nicht. Gelegentlich genannte Zahlen von maximal 2.000 meldepflichtigen KRITIS-Betreibern erscheinen weit untertrieben, andere Untersuchungen kommen auf bis zu 18.000 Unternehmen.

Auch inhaltlich bleiben die Vorgaben flexibel; Kritiker würden vielleicht sagen: vage. Es dürfte aber tatsächlich schwierig sein, a priori gesetzlich zu definieren, was branchenspezifische Mindeststandards umfassen. Umso mehr, als sich gerade das Feld der IT-Sicherheit überaus dynamisch entwickelt.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43636875 / Standards)